グーグルが、米国のGmailアカウント保有者はデータを失うことなくプライマリメールアドレスを変更できるようになったと発表し、それに伴うセキュリティ警告を出したばかりだが、利用者に対してさらにもう1つ重要な助言が発せられた。2要素認証(2FA=ログイン時にパスワードに加えてもう1段階の認証を求めるセキュリティ機能)を無効にしてはならないというものだ。
本来なら言うまでもないことだが、新たに確認されたGmailアカウントのハッキング被害において、被害者は実際に2FAをオフにするようReddit(レディット)上で助言されていた。これは最近目にした中でも最悪級のハッキング事後アドバイスであり、該当するRedditのGmailサポートスレッドに集まったセキュリティ専門家たちも憤りを示していた。以下に知っておくべきことをまとめる。
Gmailアカウントの2要素認証(2FA)は有効なままにしておく
Redditの利用者は、ほとんどあらゆることに意見を持っている。だが、その対象がセキュリティ、とりわけGmailアカウントのセキュリティとなると、額面通りに受け取れば極めて危険な意見も存在する。まさにその典型が、3月31日にGmailのサブレディット(subreddit=Reddit内の特定テーマ別掲示板)に投稿された案件である。
ネット上の的外れな助言に注意
ある利用者が自分のアカウントがハッキングされたと報告し、今後どうすべきか助言を求めたのだ。この投稿者は、アカウントのパスワード変更やリカバリーコード(復旧用コード)の再生成といった対策はすでに講じたと説明していたが、間もなく的外れなアドバイスが寄せられた。「2FAはオフのままにしておけ。そうしないと他の複数のリカバリー手段が使えなくなる」というものだったのだが、筆者の率直な意見では、まさに的外れな助言だ。その論拠はつまるところ、2FAを有効にしているとアカウントへのアクセスを容易に取り戻せなくなるというもののようだ。だが、筆者も、Redditの他の利用者たちも、そしてグーグル自身も、まったくそうは考えていない。実際、2FAのリカバリーコードは、まさにこうした場面でのアカウント復旧をできるだけ容易にするために存在しているのである。
2要素認証(2FA)を無効にすると、攻撃者が有利になる
もちろん、2FAが万能ではないことは筆者も理解している。ハッカーには2FAを迂回する手段があり、その多くはセッションクッキーの窃取(Webブラウザーに保存される認証情報を盗む手口)やフィッシング攻撃(偽サイトなどで認証情報を騙し取る手口)によるものだ。しかし、当該Redditの返信が主張したように、「すべてのサービスで2FAをオフにしておいた方が柔軟性がある」とか「どうせ迂回されるのだから」といった考えは、的を大きく外している。
2FAはログインセキュリティの不可欠な要素であり続けており、それを無効にすることは、アカウントやデータを侵害しようとする者たちを利するだけだ。
案の定、Redditの利用者たちはすぐさまこの助言に反論し、それがセキュリティの模範からはほど遠いものであることを主張した。「アカウントの制御を取り戻すために2FAをオフにするなど、ひどいアドバイスだ」とある利用者は述べ、攻撃者がすでにアカウントにアクセスしている場合には検討の余地があるかもしれないが、そうでなければ論外だ、と付け加えた。
